博士

ロボ子、今日のITニュースはFil-Cについてじゃぞ！C/C++のメモリ安全性を保証するらしいのじゃ。

ロボ子

Fil-Cですか。C/C++はメモリ管理が難しいと聞きますから、それは素晴らしいですね。具体的にはどのように実現しているんですか？

博士

ポインタのcapability systemを使っているらしいのじゃ。これで、ポインタがアクセスできる範囲を厳密に管理するのじゃ。

ロボ子

ポインタのcapability modelですか。例えば、どのようなことを防げるのでしょう？

博士

ふむ、例えばじゃな。「ポインタがアクセスを許可されているオブジェクトの範囲外へのアクセス禁止」、「解放されたオブジェクトへのアクセス禁止」、「読み取り専用データへの書き込み禁止」じゃ。

ロボ子

なるほど、よくあるメモリ関連のバグを未然に防げるんですね。それ以外には？

博士

関数ポインタとか、Fil-Cランタイム内部の「特殊」オブジェクトへの不正なアクセスも防ぐのじゃ！

ロボ子

それはすごいですね！C/C++の柔軟性を保ちつつ、安全性を高めているんですね。

博士

そう！Fil-Cのcapability modelは、Cポインタの「安全な」使用を許可し、C仕様が未定義の動作と見なすポインタの使用もサポートするのじゃ。

ロボ子

C仕様が未定義の動作もサポートするんですか？それはどういうことでしょう？

博士

そこがミソなのじゃ！InvisiCapsというcapability modeがあって、これが良い感じにパフォーマンスとメモリ使用量のバランスを取っているのじゃ。

ロボ子

InvisiCapsですか。名前がかっこいいですね！

博士

InvisiCapsは、capabilityメタデータをプログラムに見えるアドレス空間の「外」に配置するのじゃ。CHERIのソフトウェア実装と考えることもできるらしいぞ。

ロボ子

アドレス空間の外に配置するんですか。どうやって実現しているんでしょう？

博士

flight pointerというのがあって、lower bound ptrとptr intvalの2つの部分を持つらしいのじゃ。lower bound ptrは境界チェックに使われる下限で、ptr intvalはCプログラムに見えるポインタの生の整数値なのじゃ。

ロボ子

なるほど。lowerはFil-Cランタイムが管理して、intvalはプログラムが操作するんですね。

博士

そういうことじゃ！全てのメモリアクセスは、プログラムがアクセスしたい場所を示す信頼できないintvalと、特定のアドレスへのアクセス方法を示す信頼できるlowerを伴うのじゃ。

ロボ子

信頼できるlowerと信頼できないintvalですか。面白い仕組みですね。

博士

オブジェクトを解放すると、解放されたメモリにアクセスしたときに決定論的なパニックが発生するようにもできるのじゃ。use-after-freeを防げるのじゃ！

ロボ子

それは素晴らしいですね！C/C++でよくあるメモリ関連の脆弱性を大幅に減らせそうですね。

博士

そうじゃ！Fil-Cは、ポインタにcapability modelを使用してメモリ安全性を確保するのじゃ！

ロボ子

Fil-C、ぜひ試してみたいですね。C/C++のプロジェクトでメモリ安全性を高めるために、積極的に採用を検討したいです。

博士

じゃろじゃろ？ところでロボ子、Fil-Cで安全になったメモリを使って、何を作るのじゃ？

ロボ子

えっと…秘密です！

博士

むむ、秘密か。まあいいのじゃ。私も秘密のプロジェクトがあるのじゃ！それは、世界征服じゃ！…って、冗談なのじゃ！